De veiligheidsdiensten betrappen iedere dag o.a. Chinese en Russische hackers die online Nederlandse bedrijven proberen binnen te dringen. Niet alleen grote bedrijven en overheidsorganisaties, ook kleine bedrijven met waardevolle bedrijfsinformatie kunnen aantrekkelijk zijn voor ‘spionnen’. Nu komen de meeste spionagezaken niet in het nieuws, al was het maar omdat bedrijfsspionage vaak onopgemerkt blijft. En hoewel het fenomeen niet volledig uit te bannen is, kunnen betrekkelijk simpele maatregelen de eventuele gevolgen van bedrijfsspionage wel beperken.
#1 Bewustwording
Het is belangrijk dat jouw organisatie zich bewust is van het risico op bedrijfsspionage. Middelen en processen die – op welke wijze dan ook – voor anderen van belang kunnen zijn (wij noemen dit ook wel ‘de kroonjuwelen’), zijn potentiële doelwitten. Denk dan aan die bedrijfsprocessen of (nieuwe) producten die interessant kunnen zijn voor concurrenten. Maar ook aan klantgegevens die interessant zijn voor werknemers die zelf een startup gaan beginnen. Het bewustzijn dat dergelijke vertrouwelijke informatie kwetsbaar is, zorgt voor alertheid en vormt de basis voor onderstaande maatregelen. Om risico’s op bedrijfsspionage verder te beperken is het ook mogelijk om periodiek een sweep uit te laten voeren. Tijdens zo’n sweep worden naast een visuele controle ook metingen verricht om afluisterapparatuur te ontdekken.
#2 Functiescheiding
Concurrentiegevoelige informatie en bedrijfsgeheimen horen alleen beschikbaar te zijn voor medewerkers die daadwerkelijk met die informatie moeten werken. Medewerkers of externen die deze informatie niet nodig hebben voor hun dagelijkse werkzaamheden, horen er geen toegang toe te krijgen. Dit zogeheten need-to- know-principe uit zich in de afscherming van fysieke en digitale locaties waar de vertrouwelijke informatie zich bevindt; alleen geautoriseerde medewerkers horen daarbij te kunnen.
Dit betekent ook dat geautoriseerde medewerkers ongeautoriseerde medewerkers of externen continu moeten begeleiden zodra zij incidenteel toegang nodig hebben tot vertrouwelijke informatie. En dat achteraf moet worden gecontroleerd of op de betreffende locatie items zijn ontvreemd of achtergelaten. Denk daarbij aan gegevensdragers, sensoren of afluisterapparatuur.
#3 Screening
Voordat je een medewerker autoriseert om toegang te krijgen tot vertrouwelijke informatie, is het belangrijk dat je verifieert of laat verifiëren of deze medewerker betrouwbaar is. Idealiter gebeurt dit door middel van een pre-employment screening. Bij een dergelijke screening wordt de identiteit van de medewerker gecontroleerd en is er aandacht voor zijn of haar achtergrond. Deze achtergrondcheck dient om te beoordelen of omstandigheden of eerdere gedragingen van de (kandidaat-) medewerker een risico vormen in relatie tot de vertrouwelijke informatie. Als je bijvoorbeeld iemand aanneemt die via vrienden of familie nauwe banden onderhoudt met een concurrerend bedrijf, is het belangrijk dat je het risico op bedrijfsspionage onderkent en hiernaar handelt.
Een pre employment screening maakt dergelijke risico’s inzichtelijk, op basis waarvan je kunt besluiten om iemand al dan niet toegang tot vertrouwelijke informatie te geven.
Tot slot geef ik je nog dit mee: omstandigheden van medewerkers kunnen wijzigen, ook na een pre employment screening. Daarom is het van belang screenings van medewerkers die toegang hebben tot vertrouwelijke informatie periodiek te herhalen.
Dit artikel is geschreven door Mo Ballari, senior consultant Cybersecurity & Risk management bij Hoffmann.
Lees ook:
- Hoe je door voice phishing en deepfake het schip in kunt gaan (en hoe niet)
- Hoe voorkom je dat jouw organisatie slachtoffer wordt van ransomware?